Perusahaan Cina Zoetop, mantan pemilik merek "fashion cepat" SHEIN dan ROMWE yang sangat populer, telah didenda $ 1,900,000 oleh Negara Bagian New York.
Sebagai Jaksa Agung Letitia James letakkan dalam sebuah pernyataan minggu lalu:
Langkah-langkah keamanan digital SHEIN dan ROMWE yang lemah memudahkan peretas untuk mencuri data pribadi konsumen.
Seolah itu belum cukup buruk, James melanjutkan dengan mengatakan:
[P]data pribadi dicuri dan Zoetop berusaha menutupinya. Gagal melindungi data pribadi konsumen dan berbohong tentangnya bukanlah hal yang trendi. SHEIN dan ROMWE harus meningkatkan tindakan keamanan siber mereka untuk melindungi konsumen dari penipuan dan pencurian identitas.
Terus terang, kami terkejut bahwa Zoetop (sekarang SHEIN Distribution Corporation di AS) turun begitu saja, mengingat ukuran, kekayaan, dan kekuatan merek perusahaan, tampaknya kurangnya tindakan pencegahan dasar yang dapat mencegah atau mengurangi bahaya yang ditimbulkan. oleh pelanggaran tersebut, dan ketidakjujurannya yang berkelanjutan dalam menangani pelanggaran tersebut setelah diketahui.
Pelanggaran ditemukan oleh orang luar
Menurut Kantor Kejaksaan Agung New York, Zoetop bahkan tidak menyadari pelanggaran itu, yang terjadi pada Juni 2018, dengan sendirinya.
Sebaliknya, pemroses pembayaran Zoetop mengetahui bahwa perusahaan telah dilanggar, mengikuti laporan penipuan dari dua sumber: perusahaan kartu kredit dan bank.
Perusahaan kartu kredit menemukan data kartu pelanggan SHEIN untuk dijual di forum bawah tanah, menunjukkan bahwa data tersebut diperoleh secara massal dari perusahaan itu sendiri, atau salah satu mitra TI-nya.
Dan bank mengidentifikasi SHEIN (diucapkan "dia masuk", jika Anda belum menyelesaikannya, bukan "bersinar") menjadi apa yang dikenal sebagai CPP dalam sejarah pembayaran banyak pelanggan yang telah ditipu.
CPP adalah singkatan dari titik pembelian umum, dan artinya persis seperti yang tertulis: jika 100 pelanggan secara independen melaporkan penipuan terhadap kartu mereka, dan jika satu-satunya pedagang umum yang baru-baru ini melakukan pembayaran kepada 100 pelanggan adalah perusahaan X…
…maka Anda memiliki bukti tidak langsung bahwa X kemungkinan merupakan penyebab “wabah penipuan”, dengan cara yang sama seperti yang dilakukan oleh ahli epidemiologi Inggris John Snow melacak wabah kolera tahun 1854 di London hingga ke pompa air tercemar di Broad Street, Soho.
Pekerjaan Snow membantu menepis gagasan bahwa penyakit hanya "menyebar melalui udara kotor"; menetapkan "teori kuman" sebagai realitas medis, dan merevolusi pemikiran tentang kesehatan masyarakat. Dia juga menunjukkan bagaimana pengukuran dan pengujian yang objektif dapat membantu menghubungkan sebab dan akibat, sehingga memastikan bahwa peneliti masa depan tidak membuang waktu untuk mencari penjelasan yang tidak mungkin dan mencari "solusi" yang tidak berguna.
Tidak mengambil tindakan pencegahan
Tidak mengherankan, mengingat bahwa perusahaan mengetahui tentang pelanggaran tersebut secara langsung, penyelidikan New York mengecam bisnis tersebut karena tidak mengganggu pemantauan keamanan siber, mengingat bahwa hal itu “tidak menjalankan pemindaian kerentanan eksternal secara teratur atau secara teratur memantau atau meninjau log audit untuk mengidentifikasi insiden keamanan.”
Penyelidikan juga melaporkan bahwa Zoetop:
- Kata sandi pengguna yang di-hash dengan cara yang dianggap terlalu mudah untuk diretas. Rupanya, hashing kata sandi terdiri dari menggabungkan kata sandi pengguna dengan garam acak dua digit, diikuti oleh satu iterasi MD5. Laporan dari penggemar peretas kata sandi menunjukkan bahwa rig perengkahan 8-GPU mandiri dengan perangkat keras 2016 dapat menghasilkan 200,000,000,000 MD5 per detik saat itu (garam biasanya tidak menambah waktu komputasi tambahan). Itu setara dengan mencoba hampir 20 kuadriliun kata sandi sehari hanya dengan menggunakan satu komputer tujuan khusus. (Tingkat cracking MD5 hari ini tampaknya sekitar lima sampai sepuluh kali lebih cepat dari itu, menggunakan kartu grafis terbaru.)
- Mencatat data secara sembarangan. Untuk transaksi di mana beberapa jenis kesalahan terjadi, Zoetop menyimpan seluruh transaksi ke log debug, tampaknya termasuk rincian kartu kredit lengkap (kami berasumsi ini termasuk kode keamanan serta nomor panjang dan tanggal kedaluwarsa). Tetapi bahkan setelah mengetahui tentang pelanggaran tersebut, perusahaan tidak mencoba mencari tahu di mana mereka mungkin menyimpan data kartu pembayaran nakal semacam ini dalam sistemnya.
- Tidak dapat diganggu dengan rencana respons insiden. Perusahaan tidak hanya gagal memiliki rencana respons keamanan siber sebelum pelanggaran terjadi, tampaknya tidak repot-repot membuat rencana setelahnya, dengan penyelidikan yang menyatakan bahwa “gagal mengambil tindakan tepat waktu untuk melindungi banyak pelanggan yang terkena dampak.”
- Menderita infeksi spyware di dalam sistem pemrosesan pembayarannya. Seperti yang dijelaskan investigasi, “setiap eksfiltrasi data kartu pembayaran akan [dengan demikian] terjadi dengan mencegat data kartu di tempat pembelian.” Seperti yang dapat Anda bayangkan, mengingat kurangnya rencana respons insiden, perusahaan kemudian tidak dapat mengetahui seberapa baik malware pencuri data ini bekerja, meskipun fakta bahwa detail kartu pelanggan muncul di web gelap menunjukkan bahwa penyerang berhasil.
Tidak mengatakan yang sebenarnya
Perusahaan juga dikritik habis-habisan karena ketidakjujurannya dalam menangani pelanggan setelah mengetahui tingkat serangannya.
Misalnya, perusahaan:
- Menyatakan bahwa 6,420,000 pengguna (mereka yang benar-benar memesan) terpengaruh, meskipun tahu bahwa 39,000,000 catatan akun pengguna, termasuk kata sandi yang di-hash secara tidak benar, telah dicuri.
- Mengatakan telah menghubungi 6.42 juta pengguna itu, padahal sebenarnya hanya pengguna di Kanada, AS, dan Eropa yang diinformasikan.
- Memberi tahu pelanggan bahwa "tidak ada bukti bahwa informasi kartu kredit Anda diambil dari sistem kami", meskipun telah diperingatkan tentang pelanggaran tersebut oleh dua sumber yang memberikan bukti yang secara kuat menunjukkan hal itu.
Perusahaan, tampaknya, juga mengabaikan untuk menyebutkan bahwa mereka tahu telah menderita infeksi malware pencuri data dan tidak dapat menghasilkan bukti bahwa serangan itu tidak menghasilkan apa-apa.
Itu juga gagal untuk mengungkapkan bahwa terkadang dengan sengaja menyimpan detail kartu lengkap di log debug (setidaknya 27,295 kali, sebenarnya), tetapi tidak benar-benar mencoba melacak file log jahat itu di sistemnya untuk melihat di mana mereka berakhir atau siapa yang mungkin memiliki akses ke sana.
Untuk menambah cedera penghinaan, penyelidikan lebih lanjut menemukan bahwa perusahaan itu tidak sesuai dengan PCI DSS (log debug jahatnya memastikan hal itu), diperintahkan untuk tunduk pada penyelidikan forensik PCI, tetapi kemudian menolak untuk mengizinkan penyelidik akses yang mereka butuhkan. untuk melakukan pekerjaan mereka.
Sebagaimana dicatat dengan masam oleh dokumen pengadilan, “[n]namun, dalam tinjauan terbatas yang dilakukan, [penyelidik forensik berkualifikasi PCI] menemukan beberapa area di mana sistem Zoetop tidak sesuai dengan PCI DSS.”
Mungkin yang terburuk, ketika perusahaan menemukan kata sandi dari situs web ROMWE untuk dijual di web gelap pada Juni 2020, dan akhirnya menyadari bahwa data ini mungkin dicuri kembali pada pelanggaran 2018 yang telah coba ditutup-tutupi…
…tanggapannya, selama beberapa bulan, adalah memberi pengguna yang terpengaruh dengan prompt login yang menyalahkan korban yang mengatakan, “Kata sandi Anda memiliki tingkat keamanan yang rendah dan mungkin berisiko. Silakan ubah kata sandi login Anda”.
Pesan itu kemudian diubah menjadi pernyataan pengalihan yang mengatakan, “Kata sandi Anda belum diperbarui dalam lebih dari 365 hari. Untuk perlindungan Anda, harap perbarui sekarang. ”
Hanya pada bulan Desember 2020, setelah tahap kedua kata sandi untuk dijual ditemukan di web gelap, tampaknya membawa bagian ROMWE dari pelanggaran ke lebih dari 7,000,000 akun, perusahaan mengakui kepada pelanggannya bahwa mereka telah terlibat dalam apa yang dengan lembut disebut sebagai "insiden keamanan data."
Apa yang harus dilakukan?
Sayangnya, hukuman dalam kasus ini tampaknya tidak terlalu menekan “siapa-peduli-keamanan-cyber-kapan-anda-bisa-bayar-denda saja?” perusahaan untuk melakukan hal yang benar, baik sebelum, selama, atau setelah insiden keamanan siber.
Haruskah hukuman untuk perilaku semacam ini lebih tinggi?
Selama ada bisnis di luar sana yang tampaknya memperlakukan denda hanya sebagai biaya bisnis yang dapat dimasukkan ke dalam anggaran terlebih dahulu, apakah penalti finansial merupakan cara yang tepat untuk dilakukan?
Atau haruskah perusahaan yang mengalami pelanggaran semacam ini, kemudian mencoba menghalangi penyelidik pihak ketiga, dan kemudian menyembunyikan kebenaran penuh tentang apa yang terjadi dari pelanggan mereka…
…dihalangi untuk berdagang sama sekali, demi cinta atau uang?
Sampaikan pendapat Anda di komentar di bawah! (Anda dapat tetap anonim.)
Tidak cukup waktu atau staf?
Pelajari lebih lanjut tentang Deteksi dan Respons Terkelola Sophos:
Perburuan, deteksi, dan respons ancaman 24/7 ▶
- blockchain
- kecerdasan
- menutupi
- dompet cryptocurrency
- pertukaran kripto
- keamanan cyber
- penjahat cyber
- Keamanan cyber
- Data pelanggaran
- kehilangan data
- Departemen Keamanan Dalam Negeri
- dompet digital
- firewall
- Kepatuhan GDPR
- Kaspersky
- malware
- mcafe
- Keamanan Telanjang
- NY
- BerikutnyaBLOC
- plato
- plato ai
- Kecerdasan Data Plato
- Permainan Plato
- Data Plato
- permainan plato
- ROMWE
- SHEIN
- VPN
- website security
- zephyrnet.dll
- Zoetop
